除了使用静态 IP 地址外,是否可以让 Cisco ASA 使用 DNS 名称而不是 IP 地址?例如,如果我想限制 DMZ 中的主机仅访问一个特定的 Web 服务,但该 Web 服务可能是全局负载平衡的或使用 DynDNS 或云,那么如何表达 ACL 以便不使用固定 IP 地址,并且管理员不必不断打开和关闭 IP 地址?
答案1
可以根据 URL 过滤流量;但是,这并不依赖于 DNS,而是依赖于 DMZ 服务器发送的 HTTP Host 标头。这还假设流量是明文,而不是通过 SSL 发送的。
思科提供了描述如何分析 HTTP 请求标头以进行过滤。
据我所知,ASA 不提供基于 DNS 名称控制流量的功能。